Dokumentsicherheit: Einhaltung der App Transport Security (ATS) von Apple

Problem: Die Verbindung zu LiveCycle-/AEM Forms-Servern von iOS-Apps und manchen Mac OS-Clients schlägt nach Einführung der App Transport Security (ATS) von Apple fehl

Clients stellen die Verbindung zu LiveCycle-/AEM Forms-Servern über HTTPS her. Für die Herstellung einer Verbindung von iOS 9- oder Mac OS 10.11-Clients zu einem LiveCycle-/AEM Forms-Server über HTTPS verlangt Apple Kompatibilität des Servers mit der App Transport Security (ATS). Ist der Server nicht mit ATS kompatibel, blockiert Apple alle HTTPS-Verbindungen zu diesem Server.

Damit Ihr Server ATS-kompatibel ist, stellen Sie Folgendes sicher:

Der LiveCycle-/AEM Forms-Server unterstützt Verbindungen unter Verwendung des TLS 1.2-Standards über HTTPS.
Die TLS 1.2-Verbindung nutzt Chiffren, die Perfect Forward Secrecy über den Elliptic Curve Diffie-Hellman Ephemeral Schlüsselaustausch unterstützen. Eine Liste von Chiffren mit dieser Eigenschaft finden Sie unter NSAppTransportSecurity in der „Information Property List Key Reference“ in der Pre-Release-Dokumentation von Apple.
Das Serverzertifikat ist mit SHA-2 signiert und weist eine Digest-Länge von mindestens 256 Bit auf.
Das Zertifikat des Leaf-Servers ist mit einem der folgenden Schlüsseltypen signiert:
- Schlüssel mit Schlüssel > 2048 Byte
- ECC-Schlüssel mit Schlüssel > 256 Byte

Weitere Informationen finden Sie in der Pre-Release-Dokumentation von Apple.

Aus Sicherheitsgründen und zur Aktivierung von ATS wird die Verwendung von TLS 1.2 für jegliche Kommunikation empfohlen, auch mit anderen als Apple-Geräten.

Sie haben folgende Möglichkeiten, zu überprüfen, ob Ihr Server ATS-kompatibel ist:

Mithilfe von SSL Labs, falls die Server-URK öffentlich ist
Mithilfe eines Mac-Computers

Gehen Sie wie folgt vor, um mithilfe von SSL Labs zu überprüfen, ob Ihr Server ATS-kompatibel ist:

Öffnen Sie in Ihrem Browser https://www.ssllabs.com/ssltest/analyze.html

Geben Sie die URL Ihres Servers in das Feld „Hostname“ ein und klicken Sie auf Submit.

Sie können „acrobat.com“ eingeben oder eine der verfügbaren Optionen wählen, um die Funktionsfähigkeit zu testen.

Suchen Sie auf der SSL-Berichtsseite nach Apple ATS 9/iOS 9.

Wenn Ihr Server ATS-kompatibel ist, wird für ATS 9/iOS 9 eine Meldung in Grün angezeigt. Andernfalls wird eine Meldung in Rot angezeigt.

Gehen Sie wie folgt vor, um mithilfe eines Mac-Computers mit Mac OS X 10.11 El Capitan zu überprüfen, ob Ihr Server ATS-kompatibel ist:

Geben Sie im Terminal /usr/bin/nscurl --ats-diagnostics <url> ein.

Ersetzen Sie dabei<url> durch die URL des Servers, dessen ATS-Kompatibilität Sie überprüfen möchten.

Ihr Server ist ATS-kompatibel, wenn die folgende Meldung angezeigt wird:

---

ATS Default Connection

Result: PASS

---

Verwenden Sie eines der oben beschriebenen Verfahren, um die ATS-Kompatibilität zu überprüfen.

Führen Sie die folgenden Schritte durch, um das Problem wegen der ATS-Kompatibilität zu beheben:

Verwenden Sie einen Proxy, z. B. einen Apache-Proxy.
Wenn in Ihrer Einrichtung bereits ein Lastenausgleichsmodul oder ein Proxy verwendet wird oder Sie einen neuen Proxyserver eingerichtet haben, können Sie das durch die fehlschlagende SSL-Verbindung bedingte Problem durch Ändern der Proxy-Einstellungen beheben.
Für den neuen Proxyserver: Stellen Sie sicher, dass dessen Domänenname mit dem des LiveCycle-/AEM Forms-Servers übereinstimmt und machen Sie den Proxyserver ATS-kompatibel wie in der Dokumentation zum Proxyserver/Lastenausgleichsmodul beschrieben.

Wenn Sie keinen Proxyserver nutzen können, führen Sie die Schritte für den von Ihnen verwendeten Anwendungsserver durch.

TLS 1.2 ist mit manchen Versionen von Java inkompatibel. Informationen zum Beheben von Kompatibilitätsproblemen, bevor Sie TLS aktivieren, finden Sie unter Fehlerbehebung für die Kompatibilität von TLS 1.2 mit Java.

Wenn Ihre Konfiguration TLS 1.2 unterstützt, führen Sie die folgenden Schritte durch, um TLS auf dem JBoss-Server zu aktivieren:

Konfigurieren Sie SSL über LCM.

Öffnen Sie die Datei lc_turnkey.xml im Editor.

Pfad:

Für LiveCycle: <LC-install-directory>\jboss\server\lc_turnkey\deploy\jbossweb.sar\server.xml

Für AEM Forms: <AEM-install-directory>\jboss\standalone\configuration\lc_turnkey.xml

Ändern Sie den Wert für das SSL-Protokoll in TLSv1.2 wie unten gezeigt:

<connector name="http" protocol="HTTP/1.1" scheme="http" socket-binding="http"/>
<connector name="https" protocol="HTTP/1.1" scheme="https" socket-binding="https" secure="true">
<ssl name="lc-ssl" password="password" protocol="TLSv1.2" key-alias="AEMformsCert" certificate-key-file="C:/Adobe/Adobe_Experience_Manager_Forms/jboss/standalone/configuration/aemformses.keystore" />
</connector>

Starten Sie den Server neu.

Schritte zum Überprüfen, ob der Browser die aktualisierte TLS-Version verwendet

Öffnen Sie die sichere adminui-Seite in Firefox:

URL: https://<server>:<port>/adminui

Klicken Sie auf das grüne Vorhängeschlosssymbol links neben der URL und dann auf die Schaltfläche Weiter > Weitere Informationen.

In den technischen Daten wird die TLS-Version angezeigt.

Wenn Sie das im Lieferumfang von Oracle Java 6 Update 26 oder Update 31 enthaltene JBoss Turnkey verwenden oder Oracle Java 6 manuell installiert haben:

Wenn Sie LiveCycle ES4 oder früher verwenden:
- Verwenden Sie einen Proxy, z. B. einen Apache-Proxy. Siehe hierzu die oben beschriebenen Schritte.

Wenn Sie das im Lieferumfang von Oracle Java 6 Update 26 oder Update 31 enthaltene JBoss Turnkey verwenden oder iOracle Java 6 manuell installiert haben:

Wenn Sie LiveCycle ES4 oder früher verwenden:
- Verwenden Sie einen Proxy, z. B. einen Apache-Proxy. Siehe hierzu die oben beschriebenen Schritte.

Wenn Ihre Konfiguration TLS 1.2 unterstützt, führen Sie die folgenden Schritte durch, um TLS auf dem WebLogic-Server zu aktivieren:

Informationen zum Konfigurieren von SSL finden Sie unter Konfigurieren von SSL für einen WebLogic-Server.

Starten Sie alle Server neu.

Klicken Sie in den Domänenkonfigurationen auf die Registerkarte Servers > [Verwalteter Server] > Configuration > Server Start.

Fügen Sie im Argumentfeld -Dweblogic.security.SSL.protocolVersion=TLSV1.2 hinzu.

Klicken Sie auf Speichern.

Schritte zum Überprüfen, ob der Browser die aktualisierte TLS-Version verwendet

Öffnen Sie die sichere adminui-Seite in Firefox:

URL: https://<server>:<port>/adminui

Klicken Sie auf das grüne Vorhängeschlosssymbol links neben der URL und dann auf die Schaltfläche Weiter > Weitere Informationen.

In den technischen Daten wird die TLS-Version angezeigt.

Überprüfen Sie die ATS-Kompatibilität mithilfe von SSL Labs oder eines Mac-Computers. Die Schritte zur Überprüfung der ATS-Kompatibilität sind dieselben wie oben beschrieben.

Wenn Sie WebLogic 10.x.x verwenden und Jrockit Java 6 R28 installiert ist:

Verwenden Sie einen Proxy, z. B. einen Apache-Proxy. Siehe hierzu die oben beschriebenen Schritte.

Wenn Ihre Konfiguration TLS 1.2 unterstützt, führen Sie die folgenden Schritte durch, um TLS auf WebSphere Application Server einzurichten:

Informationen zum Konfigurieren von SSL finden Sie unter Konfigurieren von SSL für WebSphere Application Server.

Starten Sie den Server neu.

Die nötigen Schritte zum Konfigurieren von SSL mit TLS finden Sie unter Konfigurieren von WebSphere Application Server für die Unterstützung von TLS 1.2.

Starten Sie den Server neu.

Schritte zum Überprüfen, ob der Browser die aktualisierte TLS-Version verwendet

Öffnen Sie die sichere adminui-Seite in Firefox:

URL: https://<server>:<port>/adminui

Klicken Sie auf das grüne Vorhängeschlosssymbol links neben der URL und dann auf die Schaltfläche Weiter > Weitere Informationen.

In den technischen Daten wird die TLS-Version angezeigt.

Überprüfen Sie die ATS-Kompatibilität mithilfe von SSL Labs oder eines Mac-Computers. Die Schritte zur Überprüfung der ATS-Kompatibilität sind dieselben wie oben beschrieben.

Wenn Sie WebSphere Application Server 7.0.0.x verwenden und IBM Java 6 installiert ist:

Aktualisieren Sie WebSphere Application Server auf 7.0.0.35 und aktualisieren Sie IBM Java 6.
Bouncy Castle Provider (1.5.4) hinzufügen
Aktivieren Sie ECDHE-Chiffren in WebSphere:
1. Melden Sie sich bei der Integrated Solutions Console von WebSphere Application Server an.
2. Navigieren Sie zu Sicherheit > SSL-Zertifikat und Schlüsselmanagement > SSL-Konfigurationen > NodeDefaultSSLSettings > Einstellungen für das Datenschutzniveau (QoP).
3. Legen Sie die Chiffre-Suite-Gruppen als benutzerdefiniert an und fügen Sie geeignete ECDHE-Chiffren hinzu.
4. Speichern Sie Ihre Angaben und starten Sie den Server neu.

Wenn Sie WebSphere Application Server 8.0.0.x verwenden und IBM WebSphere Java SDK 1.6 installiert ist:

Aktualisieren Sie WebSphere Application Server auf 8.0.0.10.
Aktualisieren Sie Java
Starke Chiffren-Suite-Gruppen verwenden standardmäßig ECDHE-Chiffren.
Aktivieren Sie TLS 1.2 und starten Sie den Server neu.

Wenn Sie WebSphere Application Server 8.x.x.x verwenden und IBM J9 Virtual Machine (Build 2.6 & 2.7, JRE 1.7.0) installiert ist:

Fügen Sie Bouncy Castle Provider (1.5.4) hinzu. Fügen Sie wie hier beschrieben Bouncy Castle Provider (1.5.4) in der Java-Sicherheitsdatei hinzu:
1. Kopieren Sie die JAR-Datei für Bouncy Castle Provider in den JDK-Ordner in Ihrer Serverinstallation. Beispiel: C:\Adobe\Adobe LiveCycle ES4\Java\jdk1.6.0_31\jre\lib\ext.
  Klicken Sie hier, um die JAR-Datei herunterzuladen.
2. Aktualisieren Sie die Konfigurationsdatei unter $JAVA_HOME/jre/lib/security/java.security
  mit dem Eintrag
  security.provider.N=org.bouncycastle.jce.provider.BouncyCastleProvider
  (wobei Sie „N“ durch die logisch nächstfolgende Nummer ersetzen).
  Aufgrund eines bekannten Signaturproblems dürfen Sie nicht Bouncy Castle Provider 1.5.5 installieren.

Hinweis:

Fügen Sie Bouncy Castle nur hinzu, wenn erforderliche Chiffren in der Chiffrenliste fehlen, die in der Administratorkonsole angezeigt wird.

Aktivieren Sie ECDHE-Chiffren in WebSphere:
1. Melden Sie sich bei der Integrated Solutions Console von WebSphere Application Server an.
2. Navigieren Sie zu Sicherheit > SSL-Zertifikat und Schlüsselmanagement > SSL-Konfigurationen > NodeDefaultSSLSettings > Einstellungen für das Datenschutzniveau (QoP).
3. Legen Sie die Chiffre-Suite-Gruppen als benutzerdefiniert an und fügen Sie geeignete ECDHE-Chiffren hinzu.
4. Speichern Sie Ihre Angaben und starten Sie den Server neu.

Twitter™- und Facebook-Beiträge fallen nicht unter die Bedingungen der Creative Commons-Lizenz.

Rechtliche Hinweise | Online-Datenschutzrichtlinie

Dokumentsicherheit: Einhaltung der App Transport Security (ATS) von Apple

Falls Ihr Server den ATS-Kompatibilitätstest nicht besteht

TLS 1.2 auf einem JBoss-Server konfigurieren

Fehlerbehebung für die Kompatibilität von TLS 1.2/ATS mit Java:

TLS 1.2 auf einem WebLogic-Server konfigurieren

Fehlerbehebung für die Kompatibilität von TLS 1.2/ATS mit Java:

SSL/TLS 1.2 auf WebSphere Application Server konfigurieren

Fehlerbehebung für die Kompatibilität von TLS 1.2 mit Java:

Fragen an die Community

Wenden Sie sich an Adobe